CSIRT小説「側線」 第3話：妨害工作（後編）：CSIRT小説「側線」（2/4 ページ）

[笹木野ミドリ，ITmedia]

＠セキュリティオペレーションセンター（SOC）

　深淵（しんえん）が同時に幾つもの端末を操作しながら目にも止まらぬ早さでキーボードをたたいている。画面には高速でデータが流れている。どうやら自分で考案したプログラムを動作させているらしい。

　それを見ながら見極（みきわめ）が発する問いに、深淵がキーボードから手を放さずに応える。

　「攻撃元は複数か？」

　「複数です。国もばらばらのようです」

　「攻撃の種類は？」

　「DDoS攻撃（注）だと思います。内容としては、不正な命令を投げつけるもの、単純に再描画を要求するもの、さまざまです」

注：DDoS攻撃（Distributed Denial of Service attack）特定のWebサービスを運営するネットワークやサーバを、無数のマシンから一度に過剰な負荷をかけることで利用不能にするサイバー攻撃の手法。例えば、大量のリクエストや巨大なデータを送りつけることで、当該のサーバの処理を遅延させる、またはアクセス不能にするといった手口がある。

深淵大武：人との会話は苦手でログをこよなく愛する。キュレーターを信頼している。一人で仕事をしていることが多く、寝ない。ディープダイバー。情報も海も。沖縄の海が大好き

　「ロボットを使って攻撃しているのか？」

　「分かりません。人がたたいている可能性も否定できません」

　「キャンペーン攻撃（注）の兆しはあったのか？」

キャンペーン攻撃（標的型攻撃）：ある特定の意志を主張するために関連する組織や個人に対して行われるサイバー攻撃

　「昨日までは観測されていません」

　「過負荷の総量に変化はあるか？」

　「いまだに同じ位の値で推移しています」

見極竜雄：キュレーター。元軍人。国家政府関係やテロ組織にも詳しく、脅威情報も収集して読み解ける。先代CSIRT全体統括に鍛え上げられ、リサーチャーを信頼している。寝ない。エージェント仲間からはドラゴンと呼ばれる

　深淵はネットワーク間を飛び交うデータをビジュアル化したモニターを指さす。そこでは、矢のような流れが轟々と飛び交っている。

　見極は、横に来ていた道筋（みちすじ）に問う。

　「道筋、お前が設計した防衛装置でこの状態はなんとかなるのか？」

　道筋が答える。

　「わが社はWebでモノを売るような業務形態ではないため、今回のような外部からの爆発的な数のアクセスは想定していません。年間平均閲覧率と最大閲覧数を基に、機器を選定しています」

　深淵が言う。

　「このような過負荷攻撃を想定するならば、設計を変更しないとダメですね」

　深淵の言葉を聞き流して見極が言う。

道筋聡：企画・開発部門から異動して来た。PMやMBAなどの資格を持ち、プライドが高い。元の部門ではエースの名を保持していたが、なぜCSIRTに配属されてきたのか疑問に思っている。

　「現況の攻撃をただの過負荷攻撃と思っているのならば危機感が足りない。敵は過負荷攻撃を陽動作戦に使って、わが社の技術資料を狙って来ているのかもしれないからな。深淵、攻撃されているサーバの入口だけでなく、従業員が使うPCについても調べてくれ。そっちに異常が見つかれば、それが敵の作戦の本丸だ」

　深淵はさらに別の端末に向かい、用意していたプログラムを起動する。

　宣託が危機管理室へ行く前、SOCではこのようなやりとりがされていた。

＠インシデント対応部屋

　何度か報告会議が続き、今回は宣託、メイ、志路（しじ）、虎舞（とらぶる）、栄喜陽（えいきょう）、深淵、見極、道筋、つたえが集まっている。

志路大河：元システム運用統括。システム運用というブラックな世界をITIL導入によってシステマチックに変革した実績を持つ。CSIRTに異動となった時に、部下のインシデントハンドラーを引き連れて来た。修羅場をいくつも経験した肝が据わった苦労人。CSIRT全体統括を補佐し、陰ながら支える。相棒のキュレーターを信頼している。インシデント対応の虎と呼ばれる

　志路が言う。

　「現状報告。潤は報告と合わせてホワイトボードに記録。つたえは頭にたたき込んでおけ」

　まず、システム部門の状況。栄喜陽が報告する。

　「Webサーバが許容量オーバでダウンしました。再起動しても、しばらくするとダウンしてしまいます。今のところ一番データ量が多く、サーバの負荷につながりやすいのが、イベント告知用の画面です。入場申し込み画面はそれに比べると多くありません。入場申し込みは早期に一杯となり、締め切られた模様です。現在システム部門では、イベント告知用の画面を緊急用のページに差し替える準備をしています。緊急用のページは簡易な作りで、過負荷攻撃の影響を少しは低減できるとシステム部門は想定しています」

　続いて深淵が報告する。

栄喜陽潤：インシデントマネジャーに引っ張られてCSIRTに加入。インシデントマネジャーを神とあがめる。CSIRT全体統括とは馬が合わない。沖縄県出身。イケメン。

　「この攻撃は、『過負荷攻撃』といわれるDDoS攻撃です。攻撃元は多岐にわたり、ファイアウォールでいちいち設定してブロックできる状態ではありません。攻撃は一定の量で続いています。この攻撃は、アノニマスのような不特定多数のメンバーが組んで行うキャンペーンではありません。そのような情報はダークウェブでも観測されていません。なお、DDoS攻撃を囮とした他の攻撃の可能性は、現時点では観測されていません」

　道筋が続ける。

　「いろいろ検討しましたが、どうやっても現時点でのわが社のセキュリティ機器装置では、この攻撃を防ぐことができません」

虎舞秀人：インシデントマネジャーに引っ張られてCSIRTに加入。システム運用のことなら熟知している。インシデントマネジャーを神とあがめる。CSIRT全体統括とは馬が合わない。関西弁。イケメン。

　虎舞が志路に書類を手渡しながら報告を始める。

　「今朝10時に広報が発表した資料がこれです。大手マスコミも来ていたことが分かりました」

　受けとった志路がにやりとして、言葉を発する。

　「対策方針が決まった。宣託、ちょっと調べてから危機管理室に行って承認をもらって来てくれ。つたえ、お前も一緒に行け」